Z minulého dílu seriálu víme, že se nový zákon o kybernetické bezpečnosti těch nejmenších (obcí I. a II. typu) týkat přímo nebude. Ty budou pouze muset přiměřeně zabezpečit jimi spravované informační systémy (nikoliv ty, které jen pasivně používají), ale pod přímou regulaci nespadnou.
Naopak obce s rozšířenou působností (III. typu) se musejí připravit na to, že je regulátor – Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) – bude moci kontrolovat, zda plní podmínky subjektu v režimu nižších povinností.
Identifikaci a správu aktiv, hodnocení rizik a plánování bezpečnostních opatření v souladu se ZoKB nabízí aplikace CSA od české společnosti Gordic. V jednom přehledném a uživatelsky přívětivém prostředí zajistíte komplexní a efektivní řízení kybernetické bezpečnosti dle požadavků vyplývajících ze směrnice NIS2, a to bez nutnosti vysokých investic a znalostí.
Gordic, partner seriálu Regulace podle NIS2.
Toto rozdělení vyplývá z vyhlášky o regulovaných službách, kterou na sklonku minulého týdne NÚKIB poslal do meziresortního připomínkového řízení. Připomínky od veřejnosti k ní a dalším pěti prováděcím předpisům bude sbírat přesně tři týdny, tedy do 6. června. Ačkoliv NÚKIB nejprve žádal o výjimku pro vyhlášku o Portálu úřadu, kdy se dopisem obrátil na ministra spravedlnosti a předsedu Legislativní rady vlády Pavla Blažka s požadavkem, aby mohl připomínkové řízení u tohoto předpisu vynechat, nakonec i tato vyhláška má standardní proces. Prováděcím předpisům a jak se změnily od verze schválené vládou, se budeme zabývat v dalších dílech našeho seriálu.
U municipalit zařadil regulátor do režimu nižších povinností ještě pražské městské části, pokud je na ně přenesen výkon působnosti podle zákona o hlavním městě. Což i vzhledem k tomu, že od loňského léta se magistrát na úkor městských částí zbavil vyřizování dopravních přestupků v prvním stupni, jsou všechny.
Naopak části ostatních měst a obcí samostatně posuzovány nejsou a sdílí osud města, ke kterému náleží. To samé platí o obecní a městské policii. Naproti tomu Praha a všechny kraje podléhají regulaci také, ale rovnou v režimu vyšších povinností.
Při definici hrozeb počítejte s nejhorším scénářem
V doporučeném postupu bezprostředně po přijetí nového kyberbezpečnostního zákona jsme zmínili nutnost stanovit rozsah řízení kybernetické bezpečnosti. Pro obce to znamená, že musejí identifikovat svá aktiva (primární, podpůrná, případně nesouvisející), a určit tak, co bude nutné chránit.
V tomto díle se podíváme na to, jak bezpečnostní opatření zavádět. S vymezenými aktivy tedy budeme uvažovat nad tím, jakou mají hodnotu, čím jsou ohrožena a jak je přiměřeně ochránit nebo zabezpečit. Lze přitom – a předpisy s tím počítají – dokonce dojít k závěru, že finanční a personální zdroje bude lepší alokovat jiným směrem, ve prospěch něčeho cennějšího, co si ochrany žádá naléhavěji.
Tato úvaha má několik kroků. První (stanovení rozsahu) máme za sebou při určení aktiv, kdy víme, co za informace obec zpracovává a jaké služby poskytuje. Dále je potřeba se kriticky zamyslet nad tím, co těmto informacím a službám hrozí. Jakému možnému nebezpečí čelí a co by se mohlo stát v případě, že by je kybernetický incident zasáhl.
Lapidárně si to lze ukázat na rozvaze o ohrožení dat uložených na discích obecních počítačů. Každá organizace disponuje dokumenty, fakturami, smlouvami, zkrátka daty, o která by nerada přišla. Pokud disk počítače selže nebo je útočníkem zašifrován po napadením ransomwarem, dojde ke ztrátě těchto dat. Škoda je pak rovna nákladům na jejich opětovné získání. Tomuto reálnému riziku lze čelit a tyto náklady snížit přiměřeným bezpečnostním opatřením v podobě pořizování pravidelných záloh.
Bez čeho se neobejdete
Při zavádění bezpečnostních opatření by obec měla začít těmi neopominutelnými. Vyhláška s nimi počítá § 4 až 7 a § 11. Jejich výhodou je, že jsou hlavně organizačního charakteru a sama o sobě nevyžadují investice. Představují nepodkročitelné minimum v oblasti kybernetické bezpečnosti, a proto být zavedena musí.
Do tohoto nezbytného minima se počítá vytvoření dokumentu s přehledem bezpečnostních opatření. Jeho vzor je přílohou vyhlášky. Podává okamžitou představu o tom, která opatření obec má zavedena, nebo je plánuje zavést a kdy, případně která a proč zavádět nebude.
I další opatření jsou v zásadě jen papírování. Regulovaný subjekt si bude muset určit osobu pověřenou řízením kybernetické bezpečnosti. V režimu nižších povinností není na překážku, pokud tento zaměstnanec nemá formální vzdělání v IT nebo kyberbezpečnosti. To lze dohnat například formou bezplatných e-learningových školení pořádaných NÚKIBem.
Ostatně povinné školení se týká jak běžných uživatelů, tak vrcholové vedení. Starosta bude muset prokazatelně školení absolvovat a seznámit se Přehledem bezpečnostních opatření, a v neposlední řadě se postarat o zajištění zdrojů v souladu s ním. Na něm také bude stanovit, v jakém pořadí – v případě kybernetického incidentu – budou služby obnovovány. V oblasti bezpečnosti lidských zdrojů si organizace musí stanovit pravidla rozvoje bezpečnostního povědomí. To znamená vymezit pravidla pro vstupní a pravidelná školení, vést o nich evidenci a kontrolovat dodržování nastavených pravidel v souladu s postupy pro případy jejich porušení.
Poslední část povinné administrativy se týká situací, kdy opatření selžou a dojde ke kybernetickému útoku. Pro tento případ je potřeba stanovit, jakým způsobem mají zaměstnanci neobvyklé chování technických aktiv hlásit a co se s tím hlášení má dít dál. Konkrétně jak má být posuzováno a jak na něj má být reagováno. Jde o nastavení procesu předtím, než je incident reportován výš, CSIRTu nebo NÚKIBu (v závislosti na režimu povinností).
Co je možné odložit podle finančních možností
Oproti nepominutelným opatřením, která budou stát pouze čas a mzdu pracovníka na sepsání dokumentace, další opatření technické povahy už si zpravidla finanční náklady vyžádají. Tato opatření (upravená v § 8 až 10, a § 12 až 14 vyhlášky) mají tu výhodu, že je není třeba zavádět všechna a hned. Klidně postačí v dokumentu Přehled bezpečnostních opatření jejich zavedení rozplánovat s ohledem na dostupný rozpočet. A využít i nástroje buď volně dostupné, nebo již dříve pořízené a používané.
Mezi tato vyhodnotitelná bezpečnostní opatření řadíme řízení přístupu, kam spadá politika přidělování uživatelských a administrátorských oprávnění nebo řízení mobilních zařízení a také řešení fyzické bezpečnosti k ochraně aktiv před odcizením, poškozením apod.
Platí také posloupnost prostředků k zajištění ochrany příslušných účtů. Na prvním místě je vícefaktorová autentizace. Pokud není možné ji nasadit, pak je potřeba používat odolné kryptografické klíče či certifikáty, a když ani ty k dispozici nejsou, pak uživatelské jméno a heslo s definovanou velikostí a složitostí. Zapomínat by se v tomto bodě nemělo ani na zabezpečení administrátorských účtů určených pro případ obnovy systémů a služeb.
Nákladnějším opatřením bude nákup firewallu pro ochranu sítě a blokování nežádoucí komunikace. Pomoci může i obstarání antivirových řešení pro ochranu před malwarem na koncových stanicích a serverech. S tím pak souvisí i politika řízení vzdáleného připojení a vzdálené správy, tedy zda, jakým způsobem a komu bude umožněno se k síti připojovat na dálku.
Legislativa pracuje s pojmem nákladová přiměřenost. Opatření tak mají být zaváděna v míře nezbytné pro zajištění účinné kybernetické bezpečnosti, která ale bude přiměřená bezpečnostním potřebám organizace. Tuto balanci přiměřenosti je vhodné odvodit z možných dopadů incidentů a počítat přitom s tou nejhorší možnou variantou.
Úvaha by měla vycházet z toho, jaká mi vznikne škoda, přijdu-li o některé chráněné technické aktivum. Už základní bezpečnostní opatření pravděpodobnost incidentu snižují o desítky procent. A když už k neblahé události dojde, zpravidla bude mít incident menší dopady, protože data bude možné obnovit ze záloh, nebo se útočník nedostane do celé sítě.